Implantação do Microsoft LAPS
Este artigo irá demonstrar o passo a passo para implantação do Microsoft LAPS.
A "Solução de Senha do Administrador Local" (LAPS) fornece gerenciamento de senhas de contas locais de computadores associados ao domínio. As senhas são armazenadas no Active Directory (AD) e protegidas pela ACL, portanto, somente usuários qualificados podem lê-lo ou solicitar sua redefinição.
Pré Requisitos para implantação:
Máquinas clientes: Windows 10, 7, 8 e 8.1
Servidores: Windows Server 2003, 2008, 2008R2, 2012 e 2012R2
Active Directory: Necessário extensão do schemma - Windows Server 2003 SP1
Ferramentas administrativas: Net Framework 4.0 e Powershell 2.0
Iremos efetuar o download dos arquivos de instalação através do seguinte link:
https://www.microsoft.com/en-us/download/details.aspx?id=46899&Search=true
Iremos efetuar a instalação do LAPS Management no nosso controlador de domínio. Após o download do arquivo, inicie o instalador.
Selecione a opção "Next" na tela inicial de instalação.
Como este será o nosso Servidor de Gerenciamento, iremos instalar todas as Features conforme a imagem abaixo:
Selecione a opção "Install" para iniciarmos o processo de instalação
Após o término do processo selecionar a opção "Finish"
Extensão dos equema do AD:
O LAPS requer uma extensão de esquema do AD para criar os atributos necessários para armazenar a senha do administrador e a data de validade da senha.
No controlador de domínio, abra uma nova sessão do Powershell com direitos administrativos.
Execute o comando para importar o módulo do LAPS no Powershell:
Import-Module AdmPwd.PS
Execute o comando para estender o esquema do AD no Powershell
Update-AdmPwdADSchema
Após estender o esquema, haverá dois novos atributos visíveis nas propriedades dos objetos de computador no AD
ms-Mcs-AdmPwd - Este atributo armazena a senha do administrador local
ms-Mcs-AdmPwdExpirationTime - este atributo armazena o tempo de expiração da senha
Configuração das permissões de computadores no AD
Por padrão, os computadores só serão capaz de ler o atributo AdmPwd e AdmPwdExpirationTime .
Para que o LAPS funcione, os computadores precisam gravar nos dois atributos. As etapas abaixo concederão permissão de gravação para os dois atributos.
No controlador de domínio, abra uma nova sessão do Powershell com direitos administrativos.
Execute o comando para importar o módulo do LAPS no Powershell:
Import-Module AdmPwd.PS
Execute o comando para conceder permissão de gravação à conta. Substitua "Nome da UO" pelo nome da UO que contém computadores que serão gerenciados com o LAPS. As permissões serão aplicadas a todas as sub OUs da UO que você especificar.
Set-AdmPwdComputerSelfPermission -Identity "Nome da OU"
Configuração das permissões de usuários no AD
A próxima etapa irá definir o grupo de usuário que terá acesso a leitura e gerenciamento das senhas de Administrador local dos computadores.
No controlador de domínio, abra uma nova sessão do Powershell com direitos administrativos.
Permissão apenas de leitura:
Execute o comando para importar o módulo do LAPS no Powershell:
Import-Module AdmPwd.PS
Execute o comando para delegar acesso de leitura a um usuário ou grupo específico. Substitua "Nome da UO" pelo nome da UO para a qual o usuário ou grupo poderá ler os atributos. Substitua "Nome do Usuário ou Grupo" pelo nome do usuário ou grupo ao qual será delegada a permissão de leitura.
Set-AdmPwdReadPasswordPermission -Identity "OU Name" -AllowedPrincipals "User or Group Name"
Permissão de modificação da senha:
Execute o comando para delegar acesso de gravação a um usuário ou grupo específico. Substitua "Nome da UO" pelo nome da UO em que o usuário ou grupo poderá modificar o atributo de horário de redefinição. Substitua "Nome de Usuário ou Grupo" pelo nome do usuário ou grupo que poderá modificar o atributo de redefinição de senha.
Set-AdmPwdResetPasswordPermission -Identity "Nome da OU" -AllowedPrincipals "User or Group Name"
Deploy do Cliente nas máquinas:
Para que o LAPS possa gerenciar as contas de Administrador local, será necessário instalar um cliente em cada máquina que se encontrar no domínio.
Existem inúmeras formas de efetuar está instalação, no artigo abaixo eu demonstro o processo de instalação via SCCM.
Este processo também pode ser efetuado utilizando GPO ou até mesmo manualmente. O instalador utilizado nos clientes será o mesmo utilizado na etapa anterior de implantação, porém iremos utilizar apenas a feature "AdmPwd GPO Extension", conforme imagem abaixo
GPO para Gerenciamento:
A próxima etapa é a criação de uma GPO que será responsável pela configuração das políticas de senha e gerenciamento do LAPS.
Crie uma nova GPO atrelada ao seu domínio.
Defina o nome para a nova GPO
Nos filtros de segurança iremos adicionar o grupo "Domain Computers" pois iremos utilizar esta GPO para gerenciar todas as máquinas do domínio.
Você pode criar vários grupos distintos e várias GPOS para gerenciamento destes grupos.
A próxima etapa é editar a GPO criada anteriormente
Iremos acessar o seguinte caminho para ter acesso a GPO do LAPS:
Computer Configuration → Administrative Templates → LAPS
Em "Password Settings" iremos definir a complexidade da senha e o tempo para expiração
Em "Name of administrator account to manage" iremos definir o nome atual da conta de Administrador local da máquina
Em "Enable local admin password management" habilite a opção, para que seja possível o gerenciamento da senha de administrador local.
Utilizando o console de gerenciamento para consulta:
Por padrão o console de gerenciamento é instalado no Management Server, no nosso caso este computador é o controlador de domínio. Iremos acessa-lo para ter acesso à console.
Iremos iniciar o LAPS UI
Agora basta inserir o Hostname do computador e a senha de Administrador local será exibida para consulta
Através do campo "New expiration time" é possível definir um novo período para alteração da data e hora de alteração da senha, se necessário.
Caso o seu ambiente possua o System Center Configuration Manager implantado para gerenciamento dos computadores, o artigo abaixo ensina o passo a passo para integrar o LAPS com o SCCM e possibilitar a consulta de senhas através da console do SCCM